Opinión | ¿Por qué los líderes empresariales deberían considerar el ciberriesgo en su estrategia de resiliencia?

Debe entenderse que los ataques de rescate no son llevados a cabo por “alguien detrás de un teclado” (bueno, muy pocos) – porque todo está automatizado de la A a la Z.

Todos hemos escuchado al menos una vez acerca de un ciberataque. Efectivamente, ya sea en los diarios, las revistas especializadas o incluso en la radio, los términos “ciberataque” y “rescate” aparecen cada vez con más frecuencia.

El objetivo de este artículo es aclarar estas nuevas y a veces oscuras amenazas al gerente o ejecutivo de la empresa y proporcionar las pistas para protegerse al menos.

Los ataques cibernéticos, un contexto particular

Históricamente, los riesgos de la tecnología de la información se medían en relación con la disponibilidad del sistema. En general, hace unos veinte años, la cobertura del riesgo informático consistía en asegurar la continuidad del servicio de las máquinas que ofrecían las aplicaciones y los datos útiles para la organización. Por lo tanto, el personal de TI puso en práctica estrategias para asegurar la redundancia de estas máquinas, buenos respaldos, redes bien dimensionadas, etc.

Después, aparecieron virus informáticos virulentos, y la respuesta fue implementar sofisticados programas antivirus en las empresas, permitiendo la detección de códigos maliciosos específicos que se propagan a través de llaves USB, correos electrónicos o incluso disquetes antediluvianos.

En los últimos cinco años más o menos, hemos visto una explosión exponencial de un nuevo riesgo vinculado a una nueva forma de virus: los rescates.

¿Qué es el ransomware?

Un “ransomware” es un tipo de virus cuya misión es cifrar (“encriptar” para los no iniciados, aunque este término sea inapropiado) los datos presentes en la empresa con el fin de exigir un rescate contra una clave que permita recuperar sus datos. En algunas publicaciones también se utiliza el término “criptovirus”.

De hecho, los atacantes han comprendido claramente que el valor de una empresa reside en los datos que posee y utiliza. Esto parece obvio para las empresas que utilizan secretos comerciales, como en la industria, por ejemplo – pero imagínese poder continuar su negocio si los siguientes datos ya no son accesibles: órdenes de compra, información de clientes, correos electrónicos, documentos de oficina, notas de entrega, datos de ERP, etc.

Evidentemente, es imposible.

¿Cómo funciona el ransomware?

Por lo general, comienza con un correo electrónico recibido con un archivo adjunto “trampa”, si se abre el documento (a menudo un documento PDF o Word) se inicia la reacción en cadena para cifrar los datos.

Así que abres el documento como un archivo adjunto, pensando que es un correo electrónico legítimo, la primera fase del ataque no es muy espectacular, por lo general tiene el único propósito de desactivar tu antivirus.

Luego, se descargará un segundo código de Internet, éste tendrá como objetivo “comprender” su red informática y sus puntos débiles (que se utilizará un poco más tarde para infectar a la empresa en su conjunto).

En esta etapa, un ladrillo particular de su infraestructura de TI será el objetivo, a saber, el Directorio Activo. De hecho, observamos que más del 80% de los ataques de rescate pasan a través del Directorio Activo en un momento u otro durante el ataque. El objetivo será que el virus encuentre debilidades en la configuración de su Directorio Activo o fallas conocidas en su infraestructura – una vez que el mapeo de sus debilidades esté hecho, el cripto-virus puede pasar al tercer paso: la encriptación.

Durante esta tercera y última etapa del ataque, se descargará un tercer código, que se difundirá en su empresa (a nivel mundial en sus PC y servidores) con el fin de cifrar todos sus datos.

Finalmente usted recibirá un archivo que explica que todos sus datos están encriptados y que debe pagar un rescate para recuperarlos. No te preocupes, el archivo contiene el modus operandi para que pagues al grupo mafioso que llevó a cabo el ataque.

¿El riesgo cibernético es sólo un problema para las grandes empresas?

Los dos mayores problemas relacionados con los ciberriesgos:

  1. Se cree que los ataques sólo se llevan a cabo en grandes empresas
  2. Se cree que esto sólo le sucede a los demás.

Debe entenderse que los ataques de rescate no son llevados a cabo por “alguien detrás de un teclado” (bueno, muy pocos) – porque todo está automatizado de la A a la Z.

De hecho, los grupos delictivos que están detrás de estos ataques han industrializado toda la cadena de infección:

— Phishing con el envío de un archivo adjunto infectado
— Desactivación del antivirus
— Descubrimiento del Directorio Activo
— El robo de la contraseña
— Cifrado de datos
— Demanda de rescate
— Sistema de pago del rescate

Como todo está totalmente automatizado, esto implica que los grupos mafiosos que llevan a cabo estos ataques no conocen de antemano a sus víctimas en el 99% de los casos.

Además, en los últimos meses, ha sido posible comprar kits completos de creación de programas de rescate por unos 200 dólares. Todo lo que tienes que hacer es ir a algunos sitios web conocidos por los internos, comprar tu kit y usar la plataforma online para automatizar todas las fases del ataque. Esto significa que además de los grupos mafiosos, “cualquiera” puede ahora llevar a cabo estos ataques.

Pero entonces, ¿qué tienes que hacer para protegerte?

Sea cual sea el tamaño de su negocio, podemos aconsejarle los siguientes pasos para mitigar su ciberriesgo:

— Sensibilizar a los usuarios entrenándolos en seguridad informática para que puedan detectar más fácilmente los correos electrónicos fraudulentos (incluso si estos correos se vuelven más difíciles de reconocer a medida que mejoran los ataques).
— Utilizar sistemas de reconocimiento de phishing, como el software Cofense por ejemplo
— Evitar que los usuarios sean administradores locales de su PC o Mac (asegurarse de que tienen el menor número posible de derechos de acceso en su máquina)
— Desplegar soluciones de verificación y seguridad del Directorio Activo, como el software Alsid, por ejemplo.
— Contactar a su aseguradora para saber qué ofrece para cubrir la interrupción del negocio debido a un ataque cibernético – esto no cubrirá todas sus pérdidas, pero puede ayudar a mitigar el impacto si algo sale mal.

En lo que respecta a los riesgos informáticos, recuerde que anticiparse al riesgo siempre costará menos que una postura reactiva vinculada al evento y que este tipo de ataque afectará a todas las organizaciones, independientemente de su tamaño en los meses o años venideros.

Por Sylvain Cortès, experto en el mercado de la ciberseguridad y el IAM

Acerca del autor

Destacamos

Contacto | Diario TI es una publicación de MPA Publishing International Ltd.